Программа: Academic Web Tools 1.x

Уязвимость позволяет удаленному пользователю произвести XSS нападение и
выполнить произвольные SQL команды в базе данных приложения.

1) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "book_id" сценарием rating.php. Удаленный пользователь может с помощью
специально сформированного запроса выполнить произвольные SQL команды в базе
данных приложения.

2) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "Fake" сценарием login.php и в параметре "glb_sid" сценарием hta/htmlarea.js.php.
Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте
безопасности уязвимого сайта.

3) Уязвимость существует из-за недостаточной обработки входных данных в
параметре "file" сценарием rss_getfile.php. Атакующий может выполнить
произвольный сценарий в браузере жертвы в контексте безопасности уязвимого
сайта.


Эксплоит



Оставить мнение